Cookies: batalla tecnológica y legal por la privacidad en la web

El objetivo inicial del World Wide Web era el intercambio de información (en forma de documentos de hipertexto con enlaces a otros documentos o recursos) a través de la red, de forma unidireccional servidor a cliente. Es por eso que las tecnologías subyacentes están orientados a un funcionamiento sin estado (stateless): el servidor no “recuerda” nada sobre el cliente y cada nueva petición empieza desde cero como si fuera la primera.

Por ejemplo, un concepto inexistente en los protocolos web es el de sesión: el servidor no tiene una forma directa de recordar si el usuario se ha autenticado y cuál era su identidad. Una solución a este problema es el uso de cookies, pequeños ficheros de texto almacenados en el navegador web del cliente. Las cookies, asociadas un dominio concreto, permiten a cada web recordar información específica acerca del cliente: su nombre de usuario, los objetos que ha almacenado en el carrito de la compra, … Además de estas cookies de sesión, las páginas web pueden usar cookies persistentes: cookies con una fecha de caducidad muy lejana (meses o años). Estas cookies permiten a una página web recordar información más atemporal sobre un usuario (la fecha de su última visita, sus preferencias de visualización, …) y realizar un seguimiento de sus actividades.

Una cookie de Google válida hasta el... 2038! - Fuente: Wikipedia. Licencia: CC BY-SA 2.5

Una cookie de Google válida hasta el… ¡2038! – Fuente: Wikipedia. Licencia: CC BY-SA 2.5

Como una página web puede enlazar a recursos de terceros, éstos a su vez pueden fijar sus propias cookies (third-party cookies) cuando la página se carga. Estas cookies creadas por terceros también pueden ser persistentes, de forma que un servicio web enlazado desde muchas páginas puede trazar la actividad de un usuario a través de todas ellas usando estas cookies. Y esto ocurre continuamente en la práctica. Como muestra, Ghostery es un servicio disponible como extensión de los navegadores más populares que permite comprobar quién está rastreando vuestra actividad en una página web. Fijaos que no pongo en duda que alguien os estará rastreando, y seguramente habrá una buena lista.

Este rastreo empieza una lucha de intereses entre los usuarios, preocupados por su privacidad, y las empresas, interesadas en realizar un seguimiento más preciso y exhaustivo de la actividad de los usuarios. Los usuarios empiezan borrando el historial de cookies de su navegador como práctica habitual. Entonces las empresas contraatacan creando diferentes tipos de cookies más resistentes: cookies que se almacenan en otros puntos del navegador como los plug-in de Flash o Silverlight (supercookies), cookies que se recrean cuando son borradas (zombie cookies) y utilidades que combinan todas las técnicas anteriores para crear cookies muy difíciles de eliminar (evercookie). Llegados a este punto, la tecnología ha otorgado la victoria a las empresas, dado que resulta prácticamente imposible “escapar” de este seguimiento.

En este punto, empiezan a entrar en acción los organismos reguladores: la Unión Europea aprueba la directiva 2009/136/CE donde se definen los comportamientos aceptables en términos de cookies. En concreto, las páginas web deben informar y pedir consentimiento antes de almacenar información en los ordenadores de los clientes o acceder a esa información almacenada. Esta legislación de ámbito europeo ha cambiado totalmente las prácticas del sector: antes nadie informaba sobre qué cookies se estaban usando, para qué se usaban, si se usaban cookies de terceros, etc. O bien, si se daba esta información, se explicaba en la página de “términos de uso”, “política de privacidad” o similar, donde quedaba oculta en un mar de información y términos legales.

De este extremo, en la UE se ha pasado al opuesto: cada página debe informar explícitamente sobre su política de cookies en la primera visita. De hecho, tanta información sobre las cookies está logrando el efecto opuesto al que se perseguía: nadie presta atención al dichoso mensaje. “Vale, que sí, que usáis cookies como todo el mundo, quita ese pop-up de una vez”. Una web podría explicar todo tipo de maldades y la mayoría de usuarios seguiría dando al botón “Aceptar”.

El modelo impuesto por esta directiva europea es opt-in: el usuario debe dar su confirmación para que se usen cookies. Otra variante para resolver el sistema de las cookies es un modelo opt-out: los usuarios deben solicitar explícitamente que no se realize el seguimiento de sus actividades mediante el uso de un indicativo especial llamado “Do-Not-Track” (DNT) . Una desventaja de este modelo alternativo es que se basa en la autoregulación: las páginas web reciben el indicativo DNT, y pueden hacerle caso… o no. ¿Alguién piensa que las empresas dedicadas al tracking en Internet descartarán está información sólo con pedirlo amablemente? O sea que, al menos de momento, nos quedamos con esos apasionantes pop-ups sobre la política de cookies…

CC BY-NC-SA 4.0 Cookies: batalla tecnológica y legal por la privacidad en la web por robert está licenciado bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional.

3 Comments

  1. «El objetivo inicial del World Wide Web era el intercambio de información a través de la red, de forma unidireccional servidor a cliente.»

    Però què dius? Barreges la WWW i l’HTTP amb una alegria espantosa!

    «Las cookies, asociadas un dominio concreto, permiten a cada web recordar información específica acerca del cliente: su nombre de usuario…»
    No he vist mai cap cookie que desi el nom de l’usuari, deuen ser raríssimes

    La divulgació es pot fer amb una mica de rigor…

    Reply
    • > Però què dius? Barreges la WWW i l’HTTP amb una alegria espantosa!

      La redacció de la frase potser no ha quedat gaire reeixida, però hi ha definicions força similars del concepte de WWW (“the World-Wide Web represents a generic information exchange tool capable of accessing information throughout the Internet”). Potser hagués quedat més clar afegint “información (en forma de documentos de hipertexto con enlaces a otros documentos o recursos)”. Ho canvio en l’entrada.

      > No he vist mai cap cookie que desi el nom de l’usuari, deuen ser raríssimes

      Algunes pàgines web guarden el nom d’usuari per autocompletar el camp “username” quan et vols tornar a autenticar. Per exemple, Moodle ho fa així. Certament no és molt freqüent, perquè no és una pràctica segura: qualsevol programa que pugui accedir al disc pot llegir la cookie i el nom d’usuari; i el servidor no s’hauria de “creure” el username que llegeix de la cookie, l’ha de tornar a comprovar.

      Reply
  2. Pues si el tema de las cookies nos trae de cabeza a todos los que nos dedicamos a Internet, por un lado nos encanta conocerlas, para estadísticas, pero por otro no nos gusta que nadie sepa por donde viajamos.

    Reply

Comentar

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Leer entrada anterior
Internet Archive, preservando la web para el futuro

En un futuro no muy lejano, l@s informátic@s de hoy en día deberemos explicar a las nuevas generaciones como era...

Cerrar